静态取证.docVIP

静态取证 1生成鉴定复件 目标存储媒介的鉴定复件提供了目标系统的一个镜像。合格的鉴定复件是包含每一比特的源信息，但可能用其他形式保存的文件。如果对源数据进行读操作时发生错误，则在产生坏数据的地方放置占位符。 2收集，分析证据 2．1 记录所有文件的创建、修改和访问时间 使用dir命令列出目标系统上所有文件的目录清单，记录文件的大小、访问时间、修改时间以及创建时间。显示文件属性命令有： a)dir／t：a／a／s／o：d c：＼：访问C盘上所有访问时间的递归式目录清单； b)dir／t：w／a／s／o：d d：\：访问D盘上所有修改时间的递归式目录清单； c)dir／t：c／a／s／o：d e：\：访问E盘上所有创建时间的递归式目录清单。 2．2 windo哪系统中证据的存放位置 来自系统方面的电子证据包括：系统日志，系统的审计记录，操作系统和数据库的l临时文件和隐藏文件，数据库的操作记录，硬盘驱动的交换(swap)分区、扇区间隙(slack)和空闲区，软件设置，完成特定功能的脚本文件，web浏览器数据缓冲，书签历史记录或会话记录、ARP缓存、内核统计、内存数据、物理配置、网络拓扑图以及由应用软件产生的记录和日志等。证据存在的位置依据具体的案例各不相同，但总的来说，可在以下位置寻找证据。 a)内核结构中的易失性数据； b)松弛空间——从中可以获取不可恢复的已删除文件信息； c)自由空间或未分配空间，在这里可以取得已删除文件，包括已损坏或不可访问的簇； d)逻辑文件系统； e)事件日志； f)注册表——应将其看做一个庞大的日志文件； g)不受windows事件日志服务管理的应用程序日志； h)交换文件，该文件用于存放最近的系统内存信息(即活动分区上的pagefile．sys)； i)特殊的应用程序级文件，如Intemet Explore的Intemet历史纪录index.dat，Netscape的fat.db、history.hst文件，以及浏览器的缓存区域； j)许多应用程序生成的临时文件； k)回收站(一个隐藏的逻辑文件结构，从中可找到最近被删除的数据)； 1)打印机的假脱机队列； m)已发送或已接收的电子邮件文件，如Outlook邮件的.pst文件。 2．3检查所有相关日志 Windows NT、windows 2000、windows xP操作系统都包含3个独立的日志文件：系统日志、应用程序日志和安全日志。检查这3个日志，可以获得以下信息：确定访问特定文件的用户；确定已经成功登录系统的用户；确定试图登录系统但未成功的用户；跟踪特定程序的使用情况；跟踪对审核策略做出的更改；跟踪用户权限的变化。 此外，许多第三方应用程序和windows系统工具会为各自的应用创建日志文件。在windows系统上最有效的检查方式之一就是检查所有带有.log后缀的文件。 离线检测日志时使用DOS启动盘，如果文件系统是NTFS，就用支持NTFS的DOS盘，也可使用带有适当内核的Linux启动盘来加载NTFS驱动器，或者简单地从磁盘镜像中将secevent.evt、appevent.evt、sysevent.evt这些文件提取出来，直接用事件查看器打开相应的日志文件。 2．4进行关键字搜索 在取证过程中，对主体的硬盘进行字符串搜索是很重要的一步，有很多关键字对于调查过程可能很关键。字符串搜索可以在逻辑文件结构或物理级对整个驱动器的内容进行检查。市场上大部分磁盘搜索工具都是从硬盘上直接读取常用的磁盘搜索工具包括dtSearch公司的deSearch。这些工具都是在物理级进行搜索。Encase有一个字符串搜索功能可以针对它创建的证据映像文件进行检查，也是物理级字符串搜索。 2．5检查相关文件 2．5．1被删除的文件和数据 回收站只捕获从windows资源管理器和其他识别回收站的应用程序中删除的文件。命令行删除或者用第三方软件删除的文件通常不放人回收站。回收站程序为每个用户创建不同的目录，当用户第一次删除文件时创建该目录。要从回收站中恢复文件，首先必须找到隐藏的回收站目录。在分区的根目录下进入隐藏的RECYCLER目录，可以看到回收站的内容。 C：\dir／a recycler C：\recycler的目录 2006—02—2l 14：32DIR …… RECYCLER目录中的文件不需要保持原来的文件名，但事件／日期与原来文件是相同的。如果使用回收站工具查看文件，可以看到文件加上了删除日期。 C：、cdrecyclerr C：＼RECYCLERcd S * C：、RECYCLER、S．1-5-2l—196040896l—1177238915． 725345543．1000dir C：、RECYCLER、S．1．5-21．1960408961．1177238